Dystrybucja aplikacji zarządzanych na urządzeniach Apple
W niektórych organizacjach konieczne może być kontrolowanie sposobu łączenia się dystrybuowanych użytkownikom aplikacji z wewnętrznymi zasobami, a także sposobu obsługi bezpieczeństwa danych w przypadku opuszczenia organizacji przez użytkownika. Możesz dystrybuować darmowe i płatne aplikacje (a także aplikacje niestandardowe) drogą bezprzewodową, używając do tego celu usługi zarządzania urządzeniami, a także zarządzać przepływem danych, co pozwala zapewnić odpowiednią równowagę między zachowaniem bezpieczeństwa i personalizacją.
Aplikacje zarządzane
Aplikacje zainstalowane przy użyciu usługi zarządzania urządzeniami to aplikacje zarządzane. Zawierają one często poufne informacje. Nad aplikacjami tego typu masz większą kontrolę, niż nad aplikacjami pobranymi przez użytkownika.
Aplikacje zarządzane mogą być usuwane z urządzenia:
zdalnie przez usługę zarządzania urządzeniami;
gdy użytkownik wyrejestrowuje urządzenie z usługi zarządzania urządzeniami.
Usunięcie aplikacji na iPhonie, iPadzie lub Apple Vision Pro powoduje również usunięcie jej danych przechowywanych w kontenerze danych aplikacji. Jeśli usługa zarządzania urządzeniami wycofa licencję aplikacji, ale nie usunie tej aplikacji z iPhone’a, iPada lub Apple Vision Pro, aplikacja ta nadal będzie działać na nim przez 30 dni. Jeśli deweloper aplikacji zaimplementował sprawdzanie potwierdzenia (receipt check), aplikacja może zostać wyłączona wcześniej. Na Macu aplikacje działają do momentu, gdy nastąpi sprawdzenie potwierdzenia.
Gdy aplikacja zostanie wyłączona, nie może być już uruchamiana, a użytkownik otrzymuje powiadomienie. Sama aplikacja pozostaje na urządzeniu, a jej dane nie są usuwane. Gdy użytkownik kupi aplikację, będzie mógł ponownie z niej korzystać.
Ograniczenia i możliwości Aplikacji zarządzanych
Aplikacje zarządzane mogą mieć następujące możliwości i ograniczenia zwiększające bezpieczeństwo i komfort użytkownika:
Unenrollment from a device management service (Wyrejestrowanie z usługi zarządzania urządzeniami): Określanie, czy aplikacje zarządzane oraz ich dane pozostają na urządzeniu, gdy użytkownik wyrejestruje je z usługi zarządzania urządzeniami.
Convert apps (Konwertowanie aplikacji): Konwertowanie aplikacji niezarządzanych na zarządzane.
Jeśli urządzenie jest nadzorowane, przełączenie aplikacji z niezarządzanej na zarządzaną następuje po otrzymaniu żądania wysłanego przez usługę zarządzania urządzeniami — bez udziału użytkownika. Jeśli urządzenie nie jest nadzorowane, użytkownik musi zaakceptować zarządzanie. Konwertowanie aplikacji nie jest obsługiwane podczas używania metody rejestracji przez użytkownika.
App version updates (Uaktualnienia wersji aplikacji): Regularne sprawdzanie w App Store dostępności nowych wersji aplikacji, a następnie wysyłanie do urządzenia polecenia instalacji aplikacji, aby ją uaktualnić. Sprawdzanie to dotyczy także aplikacji niestandardowych. Aplikacje przypisane do urządzenia, instalowane i zarządzane za pośrednictwem usługi zarządzania urządzeniami, muszą być uaktualniane przez tę usługę. App Store nie wyświetla użytkownikom powiadomień dotyczących uaktualnień tych aplikacji.
Allow Tap to Pay (Dopuszczaj Tap to Pay; tylko iOS): W przypadku urządzeń z systemem iOS 16.4 lub nowszym aplikacja obsługująca płatności działająca na pierwszym planie może zostać oznaczona do używania w bezpieczny sposób podczas transakcji Tap to Pay. Gdy to ustawienie jest włączone, użytkownik musi odblokować urządzenie przy użyciu Face ID, Touch ID lub kodu po każdej transakcji, podczas której urządzenie zostało przekazane klientowi w celu wprowadzenia kodu PIN karty płatniczej.
Use Managed Open In restrictions (Używanie ograniczeń zarządzanego otwierania; iOS, iPadOS): Do wyboru dostępne są trzy funkcje chroniące dane organizacji w aplikacjach:
Allow documents from unmanaged sources in managed destinations (Pozwalaj na dokumenty z niezarządzanych źródeł w zarządzanych miejscach docelowych). Wymuszenie tego ograniczenia pomaga uniemożliwiać otwieranie dokumentów z prywatnych źródeł i kont użytkownika w miejscach docelowych zarządzanych przez organizację. Ograniczenie to może na przykład uniemożliwić użytkownikowi otworzenie pliku PDF z dowolnej witryny internetowej w udostępnionej przez organizację aplikacji do obsługi dokumentów PDF.
Allow documents from managed sources in unmanaged destinations (Pozwalaj na dokumenty z zarządzanych źródeł w niezarządzanych miejscach docelowych). Wymuszenie tego ograniczenia pomaga uniemożliwiać otwieranie dokumentów ze źródeł i kont zarządzanych przez organizację w prywatnych miejscach docelowych użytkownika. To ograniczenie może uniemożliwić otworzenie poufnego załącznika z zarządzanego konta pocztowego organizacji w dowolnej osobistej aplikacji użytkownika.
Managed pasteboard (Zarządzany Schowek). W przypadku urządzeń z systemem iOS 15 i iPadOS 15 lub nowszym to ograniczenie pomaga kontrolować wklejanie zawartości między miejscami docelowymi zarządzanymi i niezarządzanymi. Gdy powyższe ograniczenia są wymuszone, wklejanie zawartości uwzględnia granicę zarządzanego otwierania między aplikacjami innych firm oraz aplikacjami oryginalnymi, takimi jak Kalendarz, Pliki, Poczta i Notatki. Gdy włączone jest to ograniczenie, aplikacje nie mogą także żądać rzeczy ze Schowka, jeśli zawartość przekroczyłaby granicę zarządzania. W przypadku urządzeń z systemem iOS 16 i iPadOS 16.1 lub nowszym obejmuje to domeny zarządzane.
Mark apps as nonremovable (Oznaczanie aplikacji jako nieusuwalnych; iOS, iPadOS): W przypadku urządzeń z systemem iOS 14 i iPadOS 14 lub nowszym możliwe jest oznaczanie aplikacji zarządzanych jako nieusuwalnych. Wcześniej administratorzy musieli całkowicie blokować ekran główny oraz uniemożliwiać usuwanie wszystkich aplikacji, co ograniczało użytkownikom możliwość zarządzania własnymi aplikacjami. Użytkownicy mogą nadal zmieniać ułożenie swoich aplikacji, instalować nowe aplikacje oraz usuwać inne aplikacje zainstalowane przez siebie. Administratorzy mogą oznaczać kluczowe Aplikacje zarządzane jako nieusuwalne. Gdy użytkownicy spróbują usunąć lub odinstalować Aplikację zarządzaną, funkcja ta blokuje tę czynność i wyświetla alert. Nieusuwalne Aplikacje zarządzane sprawiają, że na urządzeniach użytkowników w organizacji zawsze zainstalowane są niezbędne aplikacje.
Prevent Managed Apps from backing up data (Uniemożliwianie aplikacjom zarządzanym tworzenia backupu danych; macOS): To ograniczenie uniemożliwia tworzenie w Finderze (w systemie macOS 10.15 lub nowszym), w iTunes (w systemie macOS 10.14 lub starszym) albo w iCloud backupu danych z aplikacji zarządzanych. Wyłączenie backupu zabezpiecza dane aplikacji zarządzanych przed odzyskaniem, gdy usługa zarządzania urządzeniami usunie aplikację, a użytkownik zainstaluje ją później ponownie.
Use app configuration settings (Używanie ustawień konfiguracji aplikacji): Autorzy aplikacji mogą wybierać ustawienia, które można skonfigurować przed lub po zainstalowaniu danej aplikacji jako zarządzanej. Na przykład programista może określić ustawienie SkipIntro, aby aplikacja pomijała ekrany wprowadzające dla Aplikacji zarządzanej.
Use app feedback settings that a device management service can read (Używanie ustawień informacji zwrotnych aplikacji możliwych do odczytania przez usługę zarządzania urządzeniami): Deweloperzy aplikacji mogą wskazać ustawienia aplikacji dostępne do odczytu przez usługę zarządzania urządzeniami. Deweloper aplikacji może na przykład podać klucz
DidFinishSetup, o który usługa zarządzania urządzeniami może wysyłać zapytanie pozwalające ustalić, czy aplikacja została uruchomiona i skonfigurowana.Download managed documents from Safari (Pobieranie przy użyciu Safari dokumentów zarządzanych): Pliki pobrane przy użyciu Safari traktowane są jako dokumenty zarządzane, jeśli pochodzą z domeny zarządzanej. Na przykład, jeśli użytkownik pobierze plik PDF z domeny zarządzanej, plik ten będzie podlegał ustawieniom dotyczącym dokumentów zarządzanych. Aby uzyskać więcej informacji, zobacz: Przykłady domen zarządzanych.
Prevent Managed Apps from storing data in iCloud (Uniemożliwianie Aplikacjom zarządzanym przechowywania danych w iCloud): Dane tworzone przez użytkowników w aplikacjach niezarządzanych nadal mogą być przechowywane w iCloud.
Uwaga: Dostępność opcji zależy od usługi zarządzania urządzeniami. Aby dowiedzieć się, które opcje są dostępne w przypadku Twoich urządzeń, zapoznaj się z dokumentacją dewelopera usługi zarządzania urządzeniami.
Konfigurowanie aplikacji zarządzanych
Organizacje często wymagają spersonalizowania działania aplikacji, aby dostosować je do swoich określonych potrzeb lub nawet do potrzeb wybranej grupy użytkowników.
W przypadku urządzeń z systemem iOS 18.4, iPadOS 18.4, visionOS 2.4 lub nowszym organizacje mogą w bezpieczny sposób wdrażać konfiguracje i dane uwierzytelniające (takie jak hasła, certyfikaty i tożsamości) dla poszczególnych aplikacji zarządzanych, które obsługują szablon roboczy ManagedApp. Pozwala to organizacjom personalizować działanie aplikacji, upraszczać ich obsługę oraz zwiększać poziom bezpieczeństwa przy użyciu konfiguracji com.apple.configuration.app.managed. Oto kilka przykładów:
Wstępna konfiguracja aplikacji zarządzanej lub rozszerzenia dla określonego urządzenia lub użytkownika.
Używanie automatycznie instalowanych tożsamości do uwierzytelniania i podpisywania.
Bezpieczne pobieranie tokenów dostępu do API.
Pozyskiwanie certyfikatów dla niestandardowego zaufania (przypinanie certyfikatów, czyli certificate pinning).
Używanie kluczy powiązanych ze sprzętem oraz atestacji urządzeń zarządzanych w celu silnego uwierzytelniania urządzeń.
Aby uzyskać więcej informacji, zapoznaj się z opisem szablonu roboczego ManagedApp w witrynie Apple dla deweloperów.
Książki zarządzane
Przy użyciu usługi zarządzania urządzeniami możesz również dystrybuować utworzone przez siebie książki zarządzane, książki w formacie EPUB oraz pliki PDF.
Książki EPUB oraz pliki PDF dystrybuowane przez usługę zarządzania urządzeniami mają te same właściwości, jak inne dokumenty zarządzane. Mogą one być uaktualniane w razie potrzeby, udostępniane tylko innym aplikacjom zarządzanym lub wysyłane w wiadomościach email tylko przy użyciu zarządzanych kont Apple. Usługa zarządzania urządzeniami może także blokować użytkownikom możliwość uwzględniania książek zarządzanych w backupie. Książki te są przypisywane użytkownikom, ale pojawiają się tylko na iPhone’ach i iPadach przypisanych danemu użytkownikowi przez usługę zarządzania urządzeniami.
Uwaga: Książki zarządzane nie są obsługiwane na Apple Vision Pro.
Ograniczanie klawiatur innych dostawców
System iOS oraz iPadOS obsługują stosowanie reguł funkcji Managed Open In (Zarządzane otwieranie) do tworzonych przez inne firmy rozszerzeń instalujących alternatywne klawiatury. Reguły te uniemożliwiają używanie niezarządzanych klawiatur w Aplikacjach zarządzanych.